哪吒监控+cfcdn+ 反代grp端口

背景：

哪吒监控：感觉VPS线路不稳定，为了打消自己潜意识，希望量化延迟。
cfcdn：隐藏真实站点，保障小鸡隐秘安全
反代grpc端口: 反代grpc到支持https(TLS)的端口，这样dashboard与agent的grpc传输会开启TLS安全传输。CF只支持443，这里反代grpc端口到443

具体步骤：

参考文档里面有详细步骤这里只列出一些关键点

安装 Dashboard |官方文档

Nezha Monitoring | 大数据最佳实践

需要准备

GitHub oauth2账号
cf上两个域名

接入GitHub作为后台管理员账号

使用oauth2登录极大的提高了自建应用的安全性，好评

安装Dashboard

我是用docker compose 安装

9080：dashboard端口

5555：dashboard与agent通信端口

services:dashboard:image: ghcr.io/naiba/nezha-dashboardrestart: alwayscontainer_name: nezhavolumes:- ./data:/dashboard/data- ./static-custom/static:/dashboard/resource/static/custom:ro- ./theme-custom/template:/dashboard/resource/template/theme-custom:ro- ./dashboard-custom/template:/dashboard/resource/template/dashboard-custom:roports:- 9080:80- 5555:5555

NG配置

反代Dashboard

https能力需NG提供，访问路径是：https://域名 -> NG:443 ->dashboaed 9080

一个是反代/ 一个是反代理ws 一个反代terminal

 location / {proxy_pass http://127.0.0.1:9080;proxy_set_header Host $http_host;proxy_set_header      Upgrade $http_upgrade;}location ~ ^/(ws|terminal/.+)$  {proxy_pass http://127.0.0.1:9080;proxy_http_version 1.1;proxy_set_header Upgrade $http_upgrade;proxy_set_header Connection "Upgrade";proxy_set_header Host $http_host;}tp_host;
}

SNI分流

Dashboard不支持DOMAIN_PATH，需独占一个域名。使用xxxx.eu.org
dashboard与 agent grpc端口需要反代到443，也需要独占一个域名。使用data.xxxx.eu.org

两个域名都监听443，所以ng上配置域名SNI分流

创建 /etc/nginx/conf.d/sni.stream 配置。定义一个map，proxy_pass 带给后端端口

9443：Dashboard

10443：data

map $ssl_preread_server_name $backend_name {xxxx.eu.org cf;data.xxxx.eu.org cf-cat;
}
upstream cf {server 127.0.0.1:9443;server [::1]:9443;
}upstream cf-data {server 127.0.0.1:10443;server [::1]:10443;
}server {listen 443 reuseport;listen [::]:443 reuseport;proxy_pass $backend_name;ssl_preread on;proxy_protocol on;
}

在 /etc/nginx/nginx.conf 中引入sni分流的stream

stream {log_format basic '$remote_addr [$time_local] ''$protocol $status $bytes_sent $bytes_received ''$session_time $ssl_preread_server_name';include /etc/nginx/conf.d/*.stream;
}

这样就可以按照SNI域名分流到后端的Dashboard或者grpc了